CRITICAL🇬🇧 English

CVE-2026-44109

OpenClaw — Auth Bypass w walidacji Feishu webhook umożliwia RCE

CVSS 9.2v4.0pub. 2026-05-06upd. 2026-05-07

OpenClaw przed wersją 2026.4.15 zawiera podatność authentication bypass w mechanizmie walidacji webhooków i akcji kart Feishu, pozwalającą nieuwierzytelnionemu atakującemu na dotarcie do modułu dispatchu poleceń. Podatność jest krytyczna, ponieważ umożliwia wykonanie dowolnych poleceń bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

OpenClaw before 2026.4.15 contains an authentication bypass vulnerability in Feishu webhook and card-action validation that allows unauthenticated requests to reach command dispatch. Missing encryptKey configuration and blank callback tokens fail open instead of rejecting requests, enabling attackers to bypass signature verification and replay protection to execute arbitrary commands.

🤖 Analiza AI
Jak działa

Luka wynika z nieprawidłowej obsługi brakującej konfiguracji klucza szyfrowania (encryptKey) oraz pustych tokenów callback — zamiast odrzucać takie żądania, system przepuszcza je dalej (fail open). Atakujący może w ten sposób ominąć weryfikację podpisu (signature verification) oraz mechanizm ochrony przed powtarzaniem żądań (replay protection). W efekcie nieuwierzytelnione żądania HTTP trafiają bezpośrednio do modułu dispatchu poleceń, gdzie mogą być wykonywane dowolne instrukcje.

Skutki

Atakujący bez żadnych uprawnień może zdalnie wykonywać dowolne polecenia na serwerze (RCE), co prowadzi do pełnego przejęcia kontroli nad instancją OpenClaw oraz potencjalnej utraty poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować OpenClaw do wersji 2026.4.15 lub nowszej, w której poprawka została wprowadzona (commit c8003f1b). Dodatkowo należy upewnić się, że konfiguracja encryptKey oraz tokeny callback są prawidłowo skonfigurowane i niepuste, aby uniknąć trybu fail open.

Kogo dotyczy

OpenClaw w wersjach przed 2026.4.15

Uwagi

Poprawka dostępna w repozytorium GitHub pod commitem c8003f1b33ed2924be5f62131bd28742c5a41aae. Podatność zgłoszona również w GitHub Security Advisory GHSA-xh72-v6v9-mwhc.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Openclaw

    APP
    Openclaw
    < 2026.4.15
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-43585CRITICAL9.2PL ✓ten sam produkt

OpenClaw: ominięcie uwierzytelniania przez nieodświeżane tokeny bearer po rotacji SecretRef

CVE-2026-43575CRITICAL9.2PL ✓ten sam produkt

OpenClaw: Authentication Bypass w trasie pomocniczej sandbox noVNC

CVE-2026-43578CRITICAL9.1PL ✓ten sam produkt

OpenClaw: privilege escalation przez pominięcie zdarzeń async exec w heartbeat

CVE-2026-43581CRITICAL9.0PL ✓ten sam produkt

OpenClaw: ekspozycja Chrome DevTools Protocol poza sandbox

CVE-2026-43534CRITICAL9.3PL ✓ten sam produkt

OpenClaw: nieweryfikowane metadane hooków eskalowane do kontekstu systemowego